Author Topic: Проблема в ограницении внешнего траффика (Read 12163 times)

Rider · « **on:** April 30, 2006, 19:59:26 »

Здравствуйте. Я наверное уже всех замучал, всем написал сообщения. Но прошу вас помогите мне с моей проблемой. Попытаюсь описать поподробнее.
Недавно я подключился к Томтелу. Как положено, человек, который меня подключал объяснил, что на "Билинг странице" я могу либо подключать, либо отключать внешний интернет. (В тот момент я еще не знал, что мне потом потребуется). Ну это было краткое отступление. Дело в том, что у меня дома стоит еще 3 компьютера, не считая моего. На моем ПК установлено 2 сетевые карты, одна из которых подключена к модему, а другая в свич, собственно куда и подключены другие 3 ПК. В сетевом подключении (Tomlet) я дал общий доступ другим ПК. И они в настройке протокола TCP/IP указали локальный ip адрес моего ПК (192.168.0.1) в графах основной шлюз и Предпочитаемый DNS сервер. Таким образом они выходят в Интернет. Теперь собственно и проблема: Я хочу запретить всем (включая меня) все внешние страницы, за исключением сервера icq (я хотел бы его настроить через сайт www.nwg-nv.ru, по джаббер протоколу) и оставить для нас всех всю внутреннюю (Томскую) сеть. (если есть какие-то различия, то я имею ввиду ту внутреннюю сеть, за которую не приходиться платить помегабайтно).
Т.е. простыми словами (как я это понимаю) я хочу "оставить все внутренние сайты, запретить все внешние, за исключение www.nwg-nv.ru"
НО я не знаю как это сделать? Каким образом? Подскажите пожалуйста что мне надо делать в моем случае. Прошу описать поподробнее и по шагам, т.к. я в этом мало чего понимаю.
Я почитал много различных тем на этом сайте, но мало чего понял. Пробовал сделать это командой route, но ничего не вышло.
Заранее благодарен тем, кто откликнится...

InFlames · « **Reply #1 on:** April 30, 2006, 21:29:18 »

Quote

Здравствуйте. Я наверное уже всех замучал, всем написал сообщения. Но прошу вас помогите мне с моей проблемой. Попытаюсь описать поподробнее.
Недавно я подключился к Томтелу. Как положено, человек, который меня подключал объяснил, что на "Билинг странице" я могу либо подключать, либо отключать внешний интернет. (В тот момент я еще не знал, что мне потом потребуется). Ну это было краткое отступление. Дело в том, что у меня дома стоит еще 3 компьютера, не считая моего. На моем ПК установлено 2 сетевые карты, одна из которых подключена к модему, а другая в свич, собственно куда и подключены другие 3 ПК. В сетевом подключении (Tomlet) я дал общий доступ другим ПК. И они в настройке протокола TCP/IP указали локальный ip адрес моего ПК (192.168.0.1) в графах основной шлюз и Предпочитаемый DNS сервер. Таким образом они выходят в Интернет. Теперь собственно и проблема: Я хочу запретить всем (включая меня) все внешние страницы, за исключением сервера icq (я хотел бы его настроить через сайт www.nwg-nv.ru, по джаббер протоколу) и оставить для нас всех всю внутреннюю (Томскую) сеть. (если есть какие-то различия, то я имею ввиду ту внутреннюю сеть, за которую не приходиться платить помегабайтно).
Т.е. простыми словами (как я это понимаю) я хочу "оставить все внутренние сайты, запретить все внешние, за исключение www.nwg-nv.ru"
НО я не знаю как это сделать? Каким образом? Подскажите пожалуйста что мне надо делать в моем случае. Прошу описать поподробнее и по шагам, т.к. я в этом мало чего понимаю.
Я почитал много различных тем на этом сайте, но мало чего понял. Пробовал сделать это командой route, но ничего не вышло.
Заранее благодарен тем, кто откликнится...
[snapback]9435[/snapback]

у меня почти такая же проблема, только я хотел запретить вообще весь внешний трафик, частично проблему решил с помощью Outpost`а запретив все соединения и указав томские подсети, все вроде хорошо, но иногда проскакивают 5-10 кб внехи ))))

stranger · « **Reply #2 on:** April 30, 2006, 22:51:02 »

Quote

у меня почти такая же проблема, только я хотел запретить вообще весь внешний трафик, частично проблему решил с помощью Outpost`а запретив все соединения и указав томские подсети, все вроде хорошо, но иногда проскакивают 5-10 кб внехи ))))
[snapback]9436[/snapback]

Дык 5-10Кб это паразитный трафик - сканирование вирусами, программами и т.д. и т.п. У меня на ADSL иной раз до 5-6 Мег за месяц набегало...

stranger · « **Reply #3 on:** April 30, 2006, 22:59:47 »

Я тут посмотрел стандартными средствами решить проблему скорее всего не просто будет. Все-таки нужен какой-нибудь прокси, например, тот же аутпост.
На сайте Томтела нужно взять список Томских сетей и вбить в аутпост. Кроме-того открыть доступ до нужного адреса.
Хотя аутпост все-таки персональный фаервол... Может придется что-то другое ставить...

Palmer · « **Reply #4 on:** April 30, 2006, 23:57:18 »

Попробуй TMetr

InFlames · « **Reply #5 on:** May 01, 2006, 00:04:54 »

Quote

Дык 5-10Кб это паразитный трафик - сканирование вирусами, программами и т.д. и т.п. У меня на ADSL иной раз до 5-6 Мег за месяц набегало...
[snapback]9438[/snapback]

недоконца понял что ты имеешь ввиду... т.е. там считается трафик который приходит на мой ip со внехи? или как? можно ли его ограничить?

empty · « **Reply #6 on:** May 01, 2006, 01:03:25 »

поможет wipfw, обсуждалось тут
и можешь попробовать idrci chxipf, тоже самое, только настройка через консоль. почитать можешь тут

stranger · « **Reply #7 on:** May 01, 2006, 11:22:17 »

Quote

недоконца понял что ты имеешь ввиду... т.е. там считается трафик который приходит на мой ip со внехи? или как? можно ли его ограничить?
[snapback]9443[/snapback]

Да именно.
Приходить он все-равно будет, но если врубить режим полной невидимости его может быть меньше. Замечено, что работа в пиринговых сетях, например, в торренте увеличивает паразитный трафик даже если внешка отрублена... Я пока не могу понять как это может быть... Хотя большой статистики у меня нет и нельзя утверждать это торрент или просто совпадение. Так же замечено, что если пользоваться только виндовым брэндмауэром, то увеличение трафика то же наблюдается. Тот же аутпост позволяет его сократить достаточно сильно...

Rider · « **Reply #8 on:** May 01, 2006, 13:02:59 »

Quote

поможет wipfw, обсуждалось тут
и можешь попробовать idrci chxipf, тоже самое, только настройка через консоль. почитать можешь тут
[snapback]9444[/snapback]

Спасибо за ссылочки, но я их уже читал...
Я же написал в начале, что не понимаю ничего в этих скриптах...
Спасибо всем за ответы, но никто так подоробно и не написал как это сделать.
Прошу еще раз по пунктам написать вас как мне это можно сделать (подробнее, если вас это не сильно затруднит)
Проблема еще в том что у Томтела нету списка внутренних сетей (по крайней мере на их сайте точно)

Rider · « **Reply #9 on:** May 01, 2006, 13:13:01 »

И еще вопрос, я тут почитал на форумах и здесь говориться о программке
nets2route_1.0
Вроде бы то,что мне нужно почитал как бы как ей пользоваться,
скачал wget-1.10.1 установил ее.
Но всеравно когда запускаю эту прогу, говорит, что wget не является внутренней командой и т ... и ничего не делает, может поможете мне в этом разобраться?
(я так понял эта прога нужна для того, чтобы можно было автоматом прописать все маршруты томского траффика, ну получается также я могу туда добавить и серверы icq)
Вот, еще 1 вопрос!+))) Если я знаю адрес сайта, то как я могу узнать его ip??
Прикрепляю это программу, чтобы те, кто захочет помоч мне не лазили по форуму.

anovo · « **Reply #10 on:** May 01, 2006, 14:32:31 »

Quote

Если я знаю адрес сайта, то как я могу узнать его ip??

Например, nslookup. Хотя можно и просто ping запустить на "адрес сайта".

stranger · « **Reply #11 on:** May 01, 2006, 19:45:25 »

Quote

скачал wget-1.10.1 установил ее.
Но всеравно когда запускаю эту прогу, говорит, что wget не является внутренней командой и т ... и ничего не делает, может поможете мне в этом разобраться?
[snapback]9452[/snapback]

В PATH путь до дирректории где лежит wget прописал?

Rider · « **Reply #12 on:** May 01, 2006, 22:46:23 »

Quote

В PATH путь до дирректории где лежит wget прописал?
[snapback]9457[/snapback]

нет, что за path?
+))
Я не знаю как это сделать)))
Подскажите ламеру

visual · « **Reply #13 on:** May 01, 2006, 22:47:54 »

Quote

(я так понял эта прога нужна для того, чтобы можно было автоматом прописать все маршруты томского траффика

именно так. только учитывай тот момент, что список томских сетей у каждого провайдера свой. например, если сидишь на телекоме, бери список у телекома.

Quote

ну получается также я могу туда добавить и серверы icq)

пропиши в local_route.cmd все подсети во внешке, которые ты хочешь открыть. только дефолтовый маршрут не прописывай.

visual · « **Reply #14 on:** May 01, 2006, 22:52:13 »

Quote

нет, что за path?
+))
Я не знаю как это сделать)))
Подскажите ламеру
[snapback]9465[/snapback]

мой компьютер - свойства - дополнительно - переменные среды - системные переменные - path - изменить - через ; вписать полный путь к wget - ok - ok - ok.
P.S. пожалуй надо переделать на wsh, чтобы не возникало вопросов про wget

Rider · « **Reply #15 on:** May 01, 2006, 23:08:11 »

я примерно понял. Т.е. я могу к примеру в файлике update_route.cmd еще прописать в самом начале : path C:\Program Files\GnuWin32\bin (путь, куда установлена программа)
потом в файлике local_route.cmd прописать айпишники моих других компов (локальные с маской 255.255.255.0) и еще указать айпишник службы icq.
Я так понял? Вот просто вопрос возник.
здесь написано, что файлик delete_route.cmd - Удаление маршрутов, которые не считаются томскими для вашего (суб)провайдера. и там написано всего 3 айпишника:
route delete 213.183.96.0 mask 255.255.240.0 %1
route delete 213.183.120.0 mask 255.255.252.0 %1
route delete 213.183.112.0 mask 255.255.248.0 %1
разве это все?
И вообще так будет работать или нет? Я просто боюсь пробовать... (вдруг система слетит)
Проблема еще в том, что у Томтела на сайте нет списка внутренних сетей! И я думаю взять список у томлайна с http://www.tomline.ru/noc/bgp.html
или с http://noc.tomsk.ru/bgp.txt
Не знаю что лучше.
Еще 1 вопрос)))))
например я выполню команду ping nwg-nv.ru и он мне выдаст только айпишник, а мне же надо лоя внесения в список маршрутов еще и маска...
Это так или нет? И как мне узнать маску?
И хочу еще узнать например команда route add 213.183.96.0 mask 255.255.240.0 %1. Она, если ее выполнять посредством простой командной строки, то он говорит что параметр не тот. Мне кажется он это об %1. Можете объяснить мне что такое %1?

visual · « **Reply #16 on:** May 01, 2006, 23:12:05 »

Quote

я примерно понял. Т.е. я могу к примеру в файлике update_route.cmd еще прописать в самом начале : path C:\Program Files\GnuWin32\bin (путь, куда установлена программа)

если не можешь прописать путь в системные переменные, укажи полный путь в месте где вызывается wget.

Quote

потом в файлике local_route.cmd прописать айпишники моих других компов )

нет, не нужно. они будут доступны и без маршрутизации.

Quote

и еще указать айпишник службы icq.
Я так понял?

да, ты все правильно понял. маску для одного ip всегда указываешь 255.255.255.255

Quote

Вот просто вопрос возник.
здесь написано, что файлик delete_route.cmd - Удаление маршрутов, которые не считаются томскими для вашего (суб)провайдера. и там написано всего 3 айпишника:
route delete 213.183.96.0 mask 255.255.240.0 %1
route delete 213.183.120.0 mask 255.255.252.0 %1
route delete 213.183.112.0 mask 255.255.248.0 %1
разве это все?

а что еще ты хочешь туда добавить? удаление маршрутов было заложено под ситуации, когда нет прямого приринга между парой провайдеров, а список томских сетей берется из третьего источника. было время когда стек не считал сети томлайна томскими.

Quote

И вообще так будет работать или нет? Я просто боюсь пробовать... (вдруг система слетит)

из-за ненастроенного роутинга система не может слететь. самое страшное что тебе грозит - это полная или частичная потеря связи с сетью. но ты всегда можешь удалить маршруты командой route -f, прописать дефолтовый маршрут и все начать заново.

Quote

например я выполню команду ping nwg-nv.ru и он мне выдаст только айпишник, а мне же надо лоя внесения в список маршрутов еще и маска...
Это так или нет? И как мне узнать маску?

для одного хоста маска всегда будет равной 255.255.255.255

Quote

И хочу еще узнать например команда route add 213.183.96.0 mask 255.255.240.0 %1. Она, если ее выполнять посредством простой командной строки, то он говорит что параметр не тот. Мне кажется он это об %1. Можете объяснить мне что такое %1?
[snapback]9469[/snapback]

%1 - это первый параметр, передаваемый командному файлу на исполнение. в данном случае туда передается ip шлюза по-умолчанию.

Rider · « **Reply #17 on:** May 01, 2006, 23:15:01 »

Quote

именно так. только учитывай тот момент, что список томских сетей у каждого провайдера свой. например, если сидишь на телекоме, бери список у телекома.

пропиши в local_route.cmd все подсети во внешке, которые ты хочешь открыть. только дефолтовый маршрут не прописывай.
[snapback]9466[/snapback]

что такое дефолтовый маршрут?
И вы не забывайте про ситуацию, что я хочу чтобы еще 3 остальных компа небыли заблокированы к инэту (ну т.е. у них был такой же доступ как и у меня)

Rider · « **Reply #18 on:** May 01, 2006, 23:17:08 »

Quote

...
[snapback]9471[/snapback]

Прошу вас не ставить меня в затруднение многоточиями, а ответиь на мои, хоть и глупые, но все же вопросы...
Я всетаки писал, что я глупый в этом деле...

visual · « **Reply #19 on:** May 01, 2006, 23:36:56 »

Quote

что такое дефолтовый маршрут?

default route - это строка в таблице машрутизации вида address 0.0.0.0 mask 0.0.0.0
default gateway - этот тот маршрутизатор, которому перенаправляют пакеты для default route.

Quote

И вы не забывайте про ситуацию, что я хочу чтобы еще 3 остальных компа небыли заблокированы к инэту (ну т.е. у них был такой же доступ как и у меня)
[snapback]9472[/snapback]

у них будет совсем другая таблица маршрутизации.

News:

Author Topic: Проблема в ограницении внешнего траффика (Read 12163 times)